Un nuevo tipo de ataque de retransmisi\u00f3n NTLM de Windows denominado Coacci\u00f3n DFS<\/a> se ha descubierto que aprovecha el Sistema de archivos distribuidos (DFS): Protocolo de administraci\u00f3n de espacio de nombres (MS-DFSNM) para tomar el control de un dominio.<\/p>\n “Servicio de cola de impresi\u00f3n deshabilitado, filtros RPC instalados para evitar que PetitPotam y el servicio de agente VSS del servidor de archivos no est\u00e9n instalados, pero a\u00fan desea retransmitir [Domain Controller authentication to [Active Directory Certificate Services]? No se preocupe, MS-DFSNM tiene (sic) su respaldo”, el investigador de seguridad Filip Dragovic dijo<\/a> en un tuit.<\/p>\n MS-DFSNM<\/a> proporciona una interfaz de llamada a procedimiento remoto (RPC) para administrar configuraciones de sistemas de archivos distribuidos.<\/p>\n El ataque de retransmisi\u00f3n NTLM (NT Lan Manager) es un m\u00e9todo bien conocido que explota el mecanismo de desaf\u00edo-respuesta. Permite que partes malintencionadas se sit\u00faen entre clientes y servidores e intercepten y transmitan solicitudes de autenticaci\u00f3n validadas para obtener acceso no autorizado a los recursos de la red, logrando as\u00ed un punto de apoyo inicial en los entornos de Active Directory.<\/p>\n El descubrimiento de DFSCoerce sigue un m\u00e9todo similar llamado PetitPotam que abusos<\/a> Protocolo remoto del sistema de cifrado de archivos de Microsoft (MS-EFSRPC) para coaccionar<\/p>\n Los servidores de Windows, incluidos los controladores de dominio, se autentican con un rel\u00e9 bajo el control de un atacante, lo que permite que los actores de amenazas se apoderen potencialmente de un dominio completo.<\/p>\n “Al transmitir una solicitud de autenticaci\u00f3n NTLM desde un controlador de dominio a la inscripci\u00f3n web de la autoridad de certificaci\u00f3n o al servicio web de inscripci\u00f3n de certificados en un sistema AD CS, un atacante puede obtener un certificado que se puede usar para obtener un vale de concesi\u00f3n de vales (TGT) de la controlador de dominio”, el Centro de Coordinaci\u00f3n CERT (CERT\/CC) se\u00f1alado<\/a>detallando la cadena de ataque<\/a>.<\/p>\n Para mitigar los ataques de retransmisi\u00f3n NTLM, Microsoft recomienda<\/a> habilitando protecciones como la protecci\u00f3n extendida para la autenticaci\u00f3n (EPA), la firma SMB y la desactivaci\u00f3n de HTTP en los servidores AD CS.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/El-popular-paquete-PyPI-ctx-y-la-biblioteca-PHP-phpass.png\")
<\/a><\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n